Accord UE–Singapour sur le commerce numérique : un levier pour les échanges transfrontaliers

 Ce qu’il faut retenir

Le 7 mai 2025, l’Union européenne et Singapour ont signé un accord sur le commerce numérique visant à faciliter les échanges de biens et services en ligne et les flux transfrontières de données. (1) Ce cadre juridique ambitieux doit renforcer la confiance des acteurs économiques et soutenir le développement d’un espace numérique sans barrières injustifiées.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-accord-ue-singapour-sur-le-commerce-numerique-un-levier-pour-les-echanges-transfrontaliers

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (2é partie)

 

Ce qu’il faut retenir

(2è partie) Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.

 

Lire la suite de l'article: https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-2e-partie

DSA et conformité des services numériques : ce que doivent savoir les hébergeurs, plateformes et marketplaces (1ère partie)

Ce qu’il faut retenir

Le Digital Services Act (DSA) est pleinement applicable depuis février 2024. Hébergeurs, plateformes et marketplaces doivent se conformer à des obligations renforcées en matière de responsabilité, de transparence et de gestion des contenus.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-dsa-et-conformite-des-services-numeriques-ce-que-doivent-savoir-les-hebergeurs-plateformes-et-marketplaces-1ere-partie

Influenceurs en ligne : une activité mieux encadrée juridiquement

 

Ce qu'il faut retenir

La loi du 9 juin 2023 est venue encadrer l’activité d’influenceur, ainsi que celle de leurs agents, pour lutter contre les dérives de certains, et protéger les consommateurs. Plusieurs domaines d’activités sont désormais interdits (santé, produits et services financiers, jeux d’argent et de hasard) et l’information du public est améliorée. En outre, la loi impose un formalisme aux contrats conclus entre les agents et les influenceurs.

Lire la suite de l'article :  https://www.deleporte-wentz-avocat.com/actualite-influenceurs-en-ligne-une-activite-mieux-encadree-juridiquement

Entrée en application du DMA : quels bénéfices pour les utilisateurs des plateformes numériques ?

 

Ce qu'il faut retenir

Le Règlement sur les marchés numériques (Digital Markets Act - DMA), entré en application le 2 mai 2023, a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés, notamment les GAFAM. Les pratiques, désormais prohibées, et les obligations leur incombant doivent bénéficier aux utilisateurs, entreprises et consommateurs, en limitant les pratiques abusives et en favorisant la concurrence.  La Commission européenne a publié la liste des contrôleurs d’accès le 6 septembre dernier.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-entree-en-application-du-dma-quels-benefices-pour-les-utilisateurs-des-plateformes-numeriques

Google Ads : confirmation de la condamnation de Google pour abus de position dominante

 

Dans un arrêt du 7 avril 2022, la Cour d’appel de Paris a confirmé la décision rendue par l’Autorité de la concurrence en date du 19 décembre 2019 ayant condamné la société Google à une amende de 150.000 euros pour abus de position dominante sur le marché de la publicité en ligne et enjoint Google de clarifier la rédaction des règles de fonctionnement de Google Ads ainsi que la procédure de suspension des comptes des annonceurs. (1) Nous rappelons ci-après les conditions d’utilisation du service Google Ads, la notion d’abus de position dominante et la situation de Google sur le marché de la publicité en ligne, ayant justifié cette décision.

 

 

Ce qu’il faut retenir :

 

Selon l’Autorité de la concurrence, Google détient une position “ultra-dominante” sur le marché français de la publicité en ligne liée aux recherches.

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant ou interdisant l’utilisation de son service Google Ads pour des produits et services licites à des fins de protection des consommateurs. Toutefois, ces règles doivent être définies de manière claire et être appliquées de manière objective, transparente et non-discriminatoire.

1. Les conditions d’utilisation du service Google Ads

Le service Google Ads (dénommé AdWords jusqu’en juillet 2018) est une régie publicitaire proposée par la société Google qui permet aux annonceurs “d’acheter” des mots-clés qui déclencheront l’affichage de leurs annonces publicitaires lorsque les internautes saisiront ces mots-clés. Ces annonces sont identifiées sur Google comme annonces publicitaires, publicités ou annonces sponsorisées. Les annonceurs paient, selon un système d’enchère sur les mots-clés sélectionnés, lorsqu’un utilisateur clique sur l’annonce.

L’utilisation du service Google Ads est soumise aux Conditions générales de publicité de la société Google, complétées par des règles applicables à certaines catégories de produits et de services.

    1.1 Les Conditions générales de publicité de Google

Lorsqu’un annonceur (ou une agence) s’inscrit sur le service Google Ads, il doit accepter les Conditions générales de publicité de Google qui régissent leurs relations contractuelles.

L’article 1, “Programmes” décrit les conditions d’inscription aux différents services publicitaires de Google, dont Google Ads. Cet article stipule notamment que “Google et ses Partenaires peuvent refuser ou retirer une Publicité, Cible ou Destination spécifique à tout moment”.

L’article 3, “Politiques” stipule que “le Client (l’annonceur)est seul responsable de l’utilisation des Programmes. (…) L’Utilisation par le Client des Programmes est soumise aux politiques et règlements de Google (…) et à l’ensemble des autres politiques mises à la disposition du Client par Google (…)”.

    1.2 Les règlements régissant l’utilisation de Google Ads

Les Conditions générales de publicité sont complétées par des règlements (ou règles) qui limitent ou interdisent l’utilisation de Google Ads par les annonceurs.

Ces règles sont organisées en quatre groupes :

1. les contenus interdits (par exemple les annonces pour des produits ou services dangereux, ou pour incitation à un comportement malhonnête) ; 
2. les pratiques interdites (par exemple l’utilisation abusive du réseau publicitaire, ou les annonces comprenant des déclarations trompeuses) ;  
3. les contenus et fonctionnalités soumis à des restrictions (par exemple les annonces pour des contenus à caractère sexuel, alcools, jeux d’argent et de hasard) ; et  
4. les règles d’exigence éditoriales et techniques.
   

Google identifie certains produits et services licites mais “propices à des abus” et présentant un risque déraisonnable pour la sécurité des internautes. Les annonces pour ces produits et services sont donc interdites par Google, afin de protéger les consommateurs et éviter les abus.


2. L’abus de position dominante

L’abus de position dominante est prohibé tant par le droit européen que par le droit français.

L’article L.420-2 al.1 du Code de commerce dispose qu’ “Est prohibée, (…) l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché intérieur ou une partie substantielle de celui-ci. Ces abus peuvent notamment consister en refus de vente (…) ainsi que dans la rupture de relations commerciales établies, au seul motif que le partenaire refuse de se soumettre à des conditions commerciales injustifiées.”

L’existence d’une situation de position dominante n’est pas répréhensible en soi. Toutefois, l’entreprise en situation de position dominante doit être particulièrement attentive au respect de la concurrence et au traitement non discriminatoire de ses clients et utilisateurs. Deux conditions doivent être réunies pour que la position dominante soit considérée comme répréhensible : 1) l’existence d’une position dominante, et 2) son exploitation abusive.

La position dominante s’analyse par rapport au pouvoir détenu par une entreprise sur un “marché pertinent” où agissent plusieurs concurrents. Selon la jurisprudence, l’existence d’une position dominante impose à l’entreprise concernée la responsabilité de ne pas porter atteinte par son comportement à une concurrence effective et non faussée.


3. La situation de Google sur le marché de la publicité en ligne et l’affaire Gibmedia

La société Gibmedia avait saisi l’Autorité de la concurrence courant 2018 pour abus de position dominante de la part de Google sur le marché de la publicité en ligne.

Gibmedia édite plusieurs sites d’informations, dont les sites pages-annuaire.net et annuaire-inverse.net. A la suite de la suspension sans préavis de son compte Google Ads, la société Gibmedia a saisi l’Autorité pour pratiques anticoncurrentielles au motif que la procédure suivie par Google et les raisons de la suspension n’étaient pas objectifs, transparents, et non-discriminatoires.

Gibmedia estime que Google a abusé de sa position dominante sur le marché de la publicité en ligne en adoptant des règles de fonctionnement de sa plateforme Google Ads opaques et difficilement compréhensibles, et en les appliquant de manière inéquitable et aléatoire.

    3.1 La position ultra-dominante de Google

En l’espèce, le marché pertinent consiste en la publicité en ligne liée aux recherches, sur le marché français. Selon l’Autorité de la concurrence, Google détient une position dominante sur ce marché. L’Autorité qualifie même cette situation comme présentant des caractéristiques “extraordinaires”, notamment dans la mesure où son moteur de recherche totalise plus de 90% des recherches effectuées en France et sa part de marché de la publicité en ligne liée aux recherches serait supérieure à 90%.

En outre, selon l’Autorité, la plateforme Google Ads a une nature “biface” : d’un côté, utilisée par 90% des internautes en France ; de l’autre bénéficiant d’une dynamique très forte auprès des annonceurs, aboutissant ainsi à une position ultra-dominante.

Cette position sur le marché de la publicité en ligne impose une responsabilité particulière de Google en matière de respect des règles de concurrence, et particulièrement dans la mise en oeuvre des règles qui régissent l’utilisation de Google Ads.

Même si l’Autorité ne va pas jusqu’à reconnaître un abus de dépendance économique entre les sociétés Google et Gibmedia, elle relève que d’une manière générale, compte tenu de cette situation d’ultra-dominance, “la position des annonceurs à l’égard de l’offre de Google est (…) particulièrement contrainte”.

    3.2 Des règles Google Ads qui manquent de clarté

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant l’utilisation de son service Google Ads à des fins de protection des consommateurs. Ces règles doivent être définies de manière claire et appliquées de manière objective, transparente et non-discriminatoire. Cet objectif ne saurait cependant justifier que Google traite de manière différenciée et aléatoire des acteurs dans des situations comparables. Google ne peut pas suspendre le compte d’un annonceur au motif qu’il proposerait des services qu’elle estime contraire aux intérêts du consommateur, tout en acceptant de référencer et d’accompagner sur sa plateforme publicitaire des sites qui vendent des services similaires.

Or, l’Autorité relève que les règles applicables aux annonceurs sont :

• imprécises et confuses dans leur formulation et leur interprétation, 
• sujettes à de nombreuses modifications par Google sans que les annonceurs en soient informés, 
• soumises à des changements de position dans leur interprétation, créant une situation d’instabilité et d’insécurité juridique et économique pour les annonceurs, 
• appliquées de manière discriminatoire : plusieurs sites ont été suspendus alors que d’autres, aux contenus ou services similaires, ne l’étaient pas.
  

L’Autorité a prononcé à l’encontre de Google une sanction de 150 millions d’euros et ordonné à Google de :
    - clarifier la rédaction des Règles de Google Ads,
    - clarifier les procédures de suspension des comptes afin d’éviter que celles-ci ne revêtent un caractère brutal et injustifié,
    - et mettre en place des procédures d’alerte, de prévention, de détection et de traitement des manquements à ses Règles, afin que les mesures de suspension de sites ou de comptes Google Ads soient strictement nécessaires et proportionnées à l’objectif de protection des consommateurs.


    La décision Gibmedia de l’Autorité de la concurrence, confirmée par la Cour d’appel de Paris est dans la droite ligne de la jurisprudence de l’Autorité. (2) Ainsi, dans l’affaire Amadeus, datant de janvier 2019, l’Autorité rappelait déjà que Google est libre de déterminer sa politique de contenus, mais ces règles doivent être suffisamment intelligibles pour les acteurs économiques et s’appliquer dans des conditions objectives, transparentes et non-discriminatoires afin que tous les annonceurs d’un même secteur soient traités sur un pied d’égalité.

Depuis cette dernière décision, Google a clarifié une partie des règles applicables au service Google Ads.


                                                      * * * * * * * * * * *

(1) CA Paris, 7 avril 2022, Google Ireland Ltd c. GibMedia ; Aut. Conc. déc. n°19-D-26, 19 décembre 2019, GibMedia

(2) Voir les décisions Navx - Aut. conc. déc. n°10-MC-01, 30 juin 2010 et Aut. conc. déc. n°10-D-30, 28 octobre 2010, et Amadeus - Aut. conc. déc. n°19-MC-01, 31 janvier 2019


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2022

Renforcement des mesures de lutte contre la fraude à la TVA sur les plateformes en ligne

Suite aux contrôles réalisés par la Direction nationale des enquêtes fiscales (DNEF) courant 2019, 98% des vendeurs étrangers sur internet ne sont pas immatriculés à la TVA en France. Cette situation crée une distorsion de concurrence importante avec les vendeurs français. Pour y remédier, la loi de finance pour 2020 prévoit une série de mesures issues notamment de la transposition de la directive du 5 décembre 2017 relative au régime de TVA en matière de vente à distance. (1)

Les mesures entrant en application à compter du 1^er janvier 2021 :

-        Assujettissement à la TVA des opérateurs de plateformes en ligne (places de marché ou autre) ayant facilité la vente à distance de biens importés de moins de 150€ entre un vendeur et un acheteur. Cette obligation s’appliquera également aux opérateurs qui facilitent la livraison de biens dans l’Union européenne par un vendeur établi en dehors de l’UE, sans seuil de valeur minimum.

-        Obligation pour les plateformes de tenir un registre permettant aux Etats-membres de contrôler l’acquittement de la TVA. Ce registre devra être conservé par l’opérateur pendant 10 ans et mis à disposition de l’Administration fiscale par voie électronique en cas de demande.

De même, les exploitants des entrepôts et plateformes logistiques de stockage doivent conserver les informations permettant la traçabilité des biens vendus (propriétaires, provenance, destination, volumes, etc.).

Les mesures entrées en application à compter du 1^er janvier 2020 :

-        Assujettissement à la TVA du fournisseur intervenant indirectement dans le transport ou l’expédition des biens. De nouvelles obligations s’imposent aux opérateurs de plateformes en ligne dont l’activité est supérieure à 5 millions de visiteurs uniques par mois : lorsqu’il apparaît qu’un vendeur assujetti à la TVA se soustrait à ses obligations fiscales et que l’Administration le signale à l’opérateur, celui-ci est tenu de prendre les mesures permettant au vendeur de régulariser la situation. Ces mesures doivent être notifiées à l’Administration. Si les présomptions persistent au bout d’un mois, l’Administration peut mettre l’opérateur en demeure de prendre des mesures supplémentaires ou d’exclure le vendeur de la plateforme et de lui notifier les mesures prises. Enfin, en cas de non-respect de ces mesures par l’opérateur, celui-ci sera tenu solidairement redevable de la TVA due par le vendeur.

-        Création d’une liste noire des opérateurs de plateforme « non coopératifs ».

                                                             * * * * * * * * * * 

(1) Loi n°2019-1479 du 28 décembre 2019 de finance pour 2020, articles 149 et s. ; articles 256, 283 bis 293 A ter du code général des impôts ; et Directive (UE) 2017/2455 du 5 décembre 2017 (…) en ce qui concerne certaines obligations en matière de taxe sur la valeur ajoutée applicables aux prestations de services et aux ventes à distance de biens 

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2020

 

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde

La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 

Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 

Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

RGPD : pendant quelle durée conserver les données personnelles ?

L’un des sujets d’achoppement entre l’Union européenne et les “GAFA” concerne la durée de conservation des données personnelles collectées. Pour ces sociétés, lorsque les traitements sont soumis au droit américain (droit de l’état de Californie notamment), la question de la durée de conservation des données personnelles ne se pose pas, celles-ci pouvant généralement être conservées sans limitation. Il n’en est pas de même en Europe.

Le RGPD impose non seulement de minimiser les données collectées, c’est-à-dire de limiter les catégories et les volumes de données personnelles collectées, mais également, de limiter leur durée de conservation. (1)

La question n’est pas nouvelle puisque le principe de durée limitée de conservation des données figure déjà à l’article 6 de la loi Informatique et Libertés de janvier 1978. (2)

Mais que signifie le fait de conserver les données pour une durée limitée ? Et comment définir cette durée ? La réponse à ces questions est relativement complexe. En effet, il n’existe pas une durée unique de conservation des données personnelles, mais des durées variables suivant la finalité des traitements.

Certaines données n’ont pas besoin d’être conservées pendant une durée supérieure à leur utilisation effective (quelques minutes à quelques jours). En revanche, d’autres catégories de données personnelles doivent être conservées pendant une durée fixée par la loi, afin par exemple, de permettre aux parties d’exercer leurs droits ou de prouver un acte juridique ou l’exécution d’une obligation. Les données personnelles concernées ne seront effacées qu’à l’expiration de ce délai.

En matière de durée de conservation des données personnelles, la distinction peut s’opérer ainsi : celles pour lesquelles il existe des règles relatives à la durée de conservation (délai de prescription), et celles non couvertes par un délai de prescription.


1. Les données devant être conservées pendant un délai légal

Certaines catégories de données doivent être conservées pendant une durée déterminée par le délai de prescription. (3) En effet, chacune des parties concernées doit pouvoir rapporter la preuve d’un acte juridique (achat / vente, paiement d’une prestation, paiement de la TVA, etc.) pendant un délai raisonnable, fixé par la loi.

Il existe de multiples délais de prescription légale, que ce soit en droit civil, commercial, fiscal ou pénal par exemple.

En règle générale :
    - en matière civile, le délai de prescription applicable aux biens et services fournis par un vendeur ou prestataire professionnel à un consommateur est de 2 ans. En matière de salaires, la prescription est de 3 ans ;
    - en matière commerciale, le délai de prescription est fixé à 5 ans pour les obligations entre commerçants et entre commerçants et non-commerçants (consommateurs) ;
    - enfin, en matière fiscale, le délai de prescription est fixé à 3 ans (fin de la troisième année qui suit celle au titre de laquelle l'imposition est due). (4)

Comment appliquer ces délais à la durée de conservation des données personnelles collectées ? Il convient d’identifier la finalité du fichier afin de déterminer la durée de conservation applicable aux données collectées.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses clients :
    - Contrat de vente ou de prestation de services : les données devant être conservées concernant les contrat comprennent, outre le contrat, les coordonnées du client (nom, prénom, adresse, etc.). Ces données doivent être conservées pendant 5 ans.
    - Facturation et paiement : les données devant être conservées comprennent les coordonnées du client (nom, prénom, adresse, etc.) et les données de facturation. Ces données doivent être conservées pendant 3 ans.
    - Obligations fiscales (TVA, IS) : les données devant être conservées comprennent les données de facturation. Ces données doivent être conservées pendant 3 ans.

Exemple de données collectées dans le cadre de la relation entre l’entreprise et ses salariés :
    - Gestion de la paie : les données devant être conservées comprennent les coordonnées du salarié (nom, prénom, adresse, etc.) et les données de salaire. Ces données doivent être conservées pendant 3 ans.

Comme on peut le voir par les quelques exemples ci-dessus, certaines catégories de données sont utilisées pour plusieurs actes (inscription sur un site de e-commerce, achats en ligne, commandes de prestations, etc.) eux-mêmes couverts par des délais de prescription différents. Il conviendra d’identifier l’objectif poursuivi par la collecte de données et appliquer la durée correspondant à cette finalité.

Afin de s’assurer que l’on ne conserve que les données nécessaires pendant la durée légale applicable, il conviendra de les cartographier en identifiant les traitements pour lesquels ces données sont utilisées et déterminer la durée de prescription légale la plus longue. Les autres données seront supprimées.


2. Les données non couvertes par un délai de conservation légal

La durée de conservation des données collectées pour certains traitements n’est pas soumise à un délai de conservation légal. Il conviendra alors d’appliquer strictement le principe de conservation uniquement pour le temps nécessaire à l’accomplissement de la finalité poursuivie lors de la collecte.

Par exemple :
    - en matière de vidéosurveillance sur le lieu de travail, la CNIL recommande une durée de conservation des données de quelques jours à un mois maximum ;
    - les coordonnées de la carte bancaire du client lors d’un achat en ligne ne doivent être conservées que pendant la durée de réalisation de l’opération de paiement, éventuellement augmentée du délai de rétractation ;
    - les coordonnées d’un prospect inactif doivent être supprimées au bout d’un délai maximum de trois ans. (5)


Enfin, certaines données personnelles peuvent faire l’objet d’un archivage. Il convient de déterminer les règles d’archivage dans une procédure interne. La CNIL a défini trois types d’archives : la base active (ou archives courantes), les archives intermédiaires et les archives définitives. L’obligation de sécurité applicable en matière de traitement de données personnelles s’applique également aux données archivées (sécurité technique et physique) et sera adaptée à la nature des données archivées.

    En conclusion, il est vivement recommandé de prévoir une procédure spécifique relative à la détermination de la durée de conservation des données personnelles collectées. Cette procédure définira les objectifs poursuivis par la collecte, les catégories de données personnelles collectées, l’existence ou non de durées de conservation légale, la nécessité ou non d’archiver certaines données, etc. Par ailleurs, la loi n’est pas statique, même en matière de délais de prescription ou de conservation. Il conviendra de mettre cette procédure à jour en tenant compte de l’évolution de la loi et de la jurisprudence.

                                                                         * * * * * * * * * * * *

(1) Article 5 1. e) du RGPD “1. Les données à caractère personnel doivent être: (…) e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation).”

(2) Article 6 5° de la loi Informatique et Libertés: “[Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.”

(3) Il s’agit de la prescription extinctive. A l’issue du délai de prescription, le droit (ex. créance) s’éteint du fait de l’inaction de son titulaire. Par exemple, si le créancier d’une dette ne réclame pas le règlement d’une facture impayée, la créance s’éteint à l’issue du délai de prescription. Une fois le délai de prescription dépassé, le titulaire du droit ne peut plus l’exercer en cas d’inaction. (c.civ. art. 2219)

(4) Liste non exhaustive

(5) Voir la norme simplifiée n°48 (NS-048) de la CNIL relative à la gestion de clients et de prospects


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2018

Plateformes internet - Trois nouveaux décrets “pour favoriser la transparence des plateformes numériques”

Afin d’améliorer la confiance des utilisateurs dans les services numériques, et pour faire suite à la loi pour une République numérique (1), trois décrets d’application “pour favoriser la transparence des plateformes numériques” ont été publiés le 29 septembre 2017. (2) Ces décrets concernent les moteurs de recherche, les réseaux sociaux et les sites comparateurs ainsi que les places de marchés et les sites d'économie collaborative.

1. A compter du 1er janvier 2018, les plateformes qui valorisent des contenus, des biens ou des services proposés par des tiers, à savoir les moteurs de recherche et les sites comparatifs notamment, devront préciser les critères de référencement et de déréférencement ainsi que les critères de classement de leurs résultats. Ces sites devront également indiquer dans quelle mesure le montant de leur rémunération entre en compte dans l'ordre de présentation des contenus.

Les plateformes de mise en relation doivent prévoir une rubrique accessible depuis toutes les pages du site comprenant notamment les informations relatives à la qualité des personnes pouvant proposer la vente de biens ou de services (consommateurs ou professionnels), la description de la mise en relation entre vendeurs et acheteurs, la commission due à la plateforme pour la mise en relation, etc. A noter que ces informations figurent en principe dans les conditions générales de la plateforme.

Enfin, les plateformes B-to-C doivent mettre à la disposition des vendeurs professionnels un espace permettant la communication des informations prévues aux articles L.221-5 et L.221-6 du code de la consommation (description du bien ou du service proposé, prix, délais de livraison, coordonnées du professionnel, garantie légale, existence d’un droit de rétractation, modalités de règlement des litiges, etc.).

Par ailleurs, les sites web publiant des avis de consommateurs devront préciser si ces avis ont été vérifiés et, le cas échéant, de quelle manière cette vérification a été effectuée. Lorsque les avis sont vérifiés, l’opérateur du site doit veiller à ce que les données personnelles des contributeurs soient traitées conformément aux obligations de la loi Informatique et Libertés.

2. A compter du 1er janvier 2019, les plateformes qui comptabilisent en moyenne plus de 5 millions de visiteurs uniques mensuels devront “appliquer des bonnes pratiques en matière de clarté, de transparence et de loyauté.” Ces règles, qui devront être consultables en ligne, correspondent aux obligations générales d’information précontractuelle définies aux articles L.111-1 et suivants du code de la consommation.


                                                                      * * * * * * * * * * * *

(1) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique

(2) Décret n°2017-1434 du 29 septembre 2017 relatif aux obligations d'information des opérateurs de plateformes numériques ; Décret n°2017-1435 du 29 septembre 2017 relatif à la fixation d'un seuil de connexions à partir duquel les opérateurs de plateformes en ligne élaborent et diffusent des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs ; Décret n°2017-1436 du 29 septembre 2017 relatif aux obligations d'information relatives aux avis en ligne de consommateurs


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2018

La réforme du droit de la consommation et la nécessaire révision des conditions générales

Le droit applicable aux contrats conclus en ligne (CGV/CGU) a évolué de manière notable ces trois dernières années, avec la promulgation de plusieurs lois ayant notamment réformé le droit de la consommation. Il est donc très important pour les éditeurs de sites de e-commerce de revoir et mettre à jour leurs conditions générales de vente ou d’utilisation. En effet, les conditions générales ne doivent pas rester figées dans le temps, au risque de devenir obsolètes, et de ne plus être applicables en cas de litige. Compte tenu des évolutions législatives et jurisprudentielles, ce document doit être mis à jour régulièrement afin de rester conforme à la loi.

Par ailleurs, même si les CGV n’étaient jusqu’ici pas obligatoires, elles étaient en pratique déjà couramment utilisées à l’égard des consommateurs par la plupart des sites marchands. (1) La loi du 17 mars 2014 relative à la consommation a renforcé les obligations d’information pré-contractuelle et contractuelle du consommateur, rendant les CGV quasiment obligatoires. (2) En outre, les professionnels doivent désormais proposer le recours à un médiateur pour résoudre leurs litiges avec les consommateurs. Enfin, de nouvelles obligations concernant les plateformes d’intermédiation et les comparateurs en ligne ont été introduites dans le code de la consommation, avec l’entrée en vigueur de la la loi pour une République numérique du 7 octobre 2016.


1. La réforme du droit de la consommation

La loi du 17 mars 2014 (“loi Hamon”) a modifié le droit de la consommation, dont certaines règles applicables à la vente en ligne aux consommateurs (B-to-C). Cette réforme, qui transpose la directive européenne “droit des consommateurs” du 25 octobre 2011, est entrée en application par étapes, entre mars 2014 et octobre 2016. (3)

La réforme du droit de la consommation a renforcé l’obligation d’information pré-contractuelle, l’information sur les garanties, le délai de livraison et le transfert des risques. Ces informations, qui doivent être communiquées au consommateur de manière lisible et compréhensible (art. L.111-1 et s. et art. L.221-5 et s.du Code de la consommation), comprennent entre autres :
    - les coordonnées du vendeur professionnel ;
    - la description des caractéristiques essentielles du bien ou du service proposé ainsi que son prix ;
    - si le contrat n’est pas exécuté immédiatement, la date ou le délai de livraison (à défaut de fixation de délai, le professionnel doit s’exécuter au plus tard 30 jours après la conclusion du contrat) ;
    - les informations relatives à l’existence et aux modalités de mise en œuvre des garanties et autres conditions contractuelles. A noter que la garantie de conformité est passée de six mois à deux ans, sauf pour les biens d’occasion (art. L.217-7 code de la consommation) ;
     - l’indication des frais de livraison et autres frais qui viendraient s’ajouter pour le traitement de la commande ;
    - l’existence (ou non) d’un droit de rétractation (conditions et modalités d’exercice du droit de rétractation, frais de renvoi du bien, formulaire type de rétractation), le délai de rétractation étant passé à 14 jours à compter de la réception du bien par le consommateur ou de la conclusion du contrat de service. A défaut d’information relative au droit de rétractation, le délai pour retourner le bien au vendeur est étendu à douze mois (art. L.221-18 et s. Code de la consommation).

Enfin, le risque de perte ou de détérioration du bien est désormais transféré au consommateur au moment de la prise de possession du bien par celui-ci, sauf si le consommateur a choisi un transporteur autre que celui proposé par le professionnel. Dans ce cas, le risque est transféré au consommateur au moment de la remise du bien au transporteur.

En cas de litige, le vendeur professionnel devra établir la preuve de la communication de ces informations au consommateur.


2. Le règlement extra-judiciaire des litiges de consommation

L’ordonnance du 20 août 2015 relative au règlement extra-judiciaire des litiges de consommation est entrée en application début janvier 2016. Ces nouvelles dispositions, figurant dans le code de la consommation, consacrent la faculté pour les consommateurs, de recourir à un médiateur de la consommation pour régler un litige avec un professionnel. L’objectif de ce mode alternatif de règlement des litiges est d’éviter les actions judiciaires, en particulier lorsque le litige porte sur un faible montant. (4)

Ces dispositions s’appliquent non seulement au commerce traditionnel en magasin, mais également au commerce en ligne, pour la vente de produits ou de services entre professionnels et consommateurs (B-to-C). A ce titre, le vendeur professionnel en ligne a l’obligation de proposer aux consommateurs le recours effectif à un dispositif de médiation, en les informant sur la mise à disposition sur son site internet, d’un lien électronique vers une plateforme de Règlement des Litiges en Ligne (“RLL”). (5) Ce dispositif peut être mis en place par l’entreprise ou s’appliquer à l’ensemble des entreprises d’un domaine d’activité. Il est à noter que le professionnel est dans l’obligation de proposer la médiation, mais il ne peut pas l’imposer. Le consommateur reste libre de porter le litige directement devant les tribunaux.

Tout manquement à ces obligations est passible d’une amende administrative de 15.000 euros pour les personnes morales.

Certaines conditions doivent néanmoins être remplies pour pouvoir recourir à une médiation. (6) Pour que le médiateur examine la demande du consommateur :
    - ce dernier doit avoir tenté, au préalable, par une réclamation écrite, selon les modalités prévues, ou selon le contrat, de régler le conflit directement avec le vendeur professionnel ;
    - la demande du consommateur ne doit pas être manifestement abusive ou infondée ;
    - le litige ne doit pas être examiné, ou en cours d’examen, par un autre médiateur ou par un tribunal ;
    - le consommateur doit avoir envoyé sa demande dans un délai d’un an à compter de sa réclamation écrite auprès du professionnel ; enfin
    - le litige doit entrer dans le champ de compétence du médiateur.

S’il est fait appel à un médiateur, celui-ci doit faire connaître aux parties sa solution par courrier simple ou électronique. Il doit rappeler aux parties qu’elles sont libres d’accepter, ou de refuser, sa solution et qu’elles peuvent exercer un recours judiciaire. La réponse du médiateur doit intervenir dans un délai de 90 jours à compter de la notification, délai qui peut être prolongé. Sa proposition de solution doit contenir un délai d’acceptation ou de refus et doit exposer les effets en cas d’acceptation de la solution.

La médiation des litiges de consommation est soumise à la confidentialité.


3. Les nouvelles obligations d’information des plateformes d’intermédiation et des comparateurs en ligne

La loi pour une République numérique du 7 octobre 2016 a également apporté des modifications pour certaines catégories d’activités en ligne entre professionnels et consommateurs. (7) Ces obligations de loyauté et de transparence concernent les opérateurs de plateformes en ligne, à savoir les plateformes de mise en relation en vue de la vente d’un bien ou de partage d’un service et les comparateurs en ligne (art. L.111-7 et s. Code de la consommation).

Ainsi, le code de la consommation définit désormais les “opérateurs de plateformes en ligne” comme les personnes physiques ou morales proposant, à titre professionnel, de manière rémunérée ou non :
    i) un service de classement ou de référencement, au moyen d'algorithmes informatiques, de contenus, de biens ou de services proposés ou mis en ligne par des tiers (sites comparateurs par exemple) ; ou
    ii) un service de mise en relation de plusieurs parties en vue de la vente d'un bien, de la fourniture d'un service ou de l'échange ou du partage d'un contenu, d'un bien ou d'un service (plateforme de vente de biens, ou de partage de services par exemple).

Les éditeurs de plateformes d’intermédiation en ligne doivent délivrer à leurs utilisateurs une information “loyale, claire et transparente”, comportant les conditions générales d'utilisation du service d'intermédiation qu'il propose, la qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels. A ce titre, les plateformes d’intermédiation doivent mettre à la disposition des vendeurs professionnels un espace leur permettant de communiquer aux consommateurs les informations précontractuelles prévues à l’article L.221-5 du code de la consommation (coordonnées du vendeur, caractéristiques des biens et services proposés, etc.).

Les éditeurs de sites de comparaison en ligne (comparaison des prix et des caractéristiques de biens et de services proposés par des professionnels) doivent communiquer aux consommateurs les informations portant sur les éléments de la comparaison et identifier le contenu publicitaire. Le site de comparaison doit comprendre une rubrique sur le fonctionnement du service, accessible sur toutes les pages du site, et comportant un certain nombre d’informations, telles que : les modalités de référencement, de classement et de déréférencement des contenus (biens ou services) mis en ligne, l’existence d’un lien contractuel, capitalistique ou d’une rémunération susceptible(s) d’influencer le classement ou la présentation des contenus référencés.

Enfin, l’un des objectifs de la loi pour une République numérique est la lutte contre les faux avis d’utilisateurs. A cette fin, de nouvelles dispositions sont désormais prévues dans le code de la consommation imposant aux sites fournissant, à titre principal ou accessoire, un service de publication d’avis en ligne de consommateurs (comprenant la collecte, la modération, ou la diffusion des avis) de délivrer une information loyale, claire et transparente sur les modalités de publication et de traitement de ces avis (art. L.111-7-2 du Code de la consommation). Le site doit informer les utilisateurs si les avis font l’objet d’un contrôle ou d’une modération avant leur publication, ainsi que la date des avis.


    Comme on peut le constater, ces nouveaux textes renforcent les obligations d’information du consommateur, celle-ci devant être loyale, claire et transparente. Ainsi, les sites de e-commerce en activité, sites de vente de biens ou de services, mais également les sites d’intermédiation en ligne et de comparaison doivent mettre à jour leurs conditions d’utilisation ainsi que leur site afin de rester en conformité avec le droit en vigueur.

Il convient de mentionner, par ailleurs, la réforme du droit des contrats, entrée en vigueur le 1er octobre 2016. Le nouveau droit des contrats met notamment l’accent sur la bonne foi pendant la période précontractuelle, mais également pendant l’exécution du contrat. Cette obligation se retrouve dans les notions de loyauté et de clarté mentionnées plus haut. En matière de commerce en ligne, outre la conformité des conditions d’utilisation au droit, il conviendra de s’assurer que celles-ci sont rédigées en termes clairs et compréhensibles pour le consommateur.

Le non-respect de ces obligations de fond (conformité légale) et/ou de forme (CGV claires et compréhensibles) pourrait être considéré par les tribunaux comme une pratique commerciale déloyale ou trompeuse et exposer les contrevenants à des sanctions pénales (amendes) importantes.


                                                               * * * * * * * * * * * *

(1) Dans la suite de cet article, nous n’emploierons que le terme “CGV” pour désigner les contrats conclus en ligne, qu’il s’agisse des conditions générales de vente pour les sites de vente de biens  (CGV) ou conditions générales d’utilisation pour les sites proposant des services (CGU).

(2) Loi n°2014-344 du 17 mars 2014 relative à la consommation (“loi Hamon”) ; Ordonnance n°2016-301 du 14 mars 2016 relative à la partie législative du code de la consommation et Décret n° 2016-884 du 29 juin 2016 relatif à la partie réglementaire du code de la consommation

(3) Directive 2011/83/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux droits des consommateurs

(4) Ordonnance n°2015-1033 du 20 août 2015 relative au règlement extra-judiciaires des litiges de consommation, codifiée aux articles L.611-1 et suivants du Code de la consommation

(5) Voir article 14 du règlement (UE) n°524/2013 du Parlement européen et du Conseil du 21 mai 2013 relatif au règlement en ligne des litiges de consommation

(6) Article L.612-2 du Code de la consommation

(7) Loi n°2016-1321 du 7 octobre 2016 pour un République numérique et article L.111-7 du Code de la consommation


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2017

Nouvelles obligations d’information des utilisateurs par les plateformes de mise en relation par voie électronique

La loi de finances pour 2016 instaure de nouvelles obligations déclaratives à la charge des plateformes de vente en ligne, depuis le 1er juillet 2016. Ces obligations s’appliquent aux sites de mise en relation entre acheteurs et vendeurs, à savoir les sites permettant la vente d’un bien, la fourniture d’un service ou l’échange ou partage d’un bien ou d’un service, tels que Leboncoin, Airbnb, Uber ou Blablacar par exemple. 

Bien que les revenus issus de ces activités soient en principe soumis à l’impôt sur le revenu, les vendeurs déclarent très rarement.

Ces nouvelles obligations se déclinent de la manière suivante :

1 - Tout d’abord, les plateformes doivent d’une part fournir une information “loyale, claire et transparente” concernant les obligations fiscales et sociales qui incombent aux utilisateurs lors de chaque transaction réalisée par l’intermédiaire du site. Ces informations sont par ailleurs disponibles sur le site de l’administration fiscale. Un lien vers les sites des administrations devra figurer sur la plateforme afin de permettre aux vendeurs de se conformer à leurs obligations.

2 - Chaque année, au mois de janvier, les plateformes devront adresser aux vendeurs un document récapitulant le montant brut des transactions qu’ils ont perçu, par leur intermédiaire, au cours de l’année précédente, dont elles ont connaissance.

3 - Enfin, avant le 15 mars de chaque année (la première fois, le 15 mars 2017), les plateformes devront faire certifier par un tiers indépendant le respect des obligations susvisées (information des utilisateurs et envoi des documents récapitulatifs) et communiquer ce certificat par voie électronique à l’administration fiscale. L’absence de communication de ce certificat est passible d’une amende de 10.000 euros, sauf si l’exploitant de la plateforme envoie le certificat dans un délai de 30 jours.

Ces obligations s’appliquent d’une part aux entreprises, quel que soit le lieu de leur établissement, qui exploitent un site à destination du marché français, d’autre part aux utilisateurs résidant en France ou qui réalisent des ventes ou des prestations de services en France.

                                                                   * * * * * * * * * * * *

(1) CGI, articles 242 bis et 1731 ter. ; LPF, articles L.102 AD et L.80 P

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2016

Vers un renforcement de la réglementation en matière de protection des données personnelles aux Etats-Unis ?

Les Etats-Unis disposent de plusieurs lois sectorielles en matière de protection des données personnelles, mais pas de loi globale, équivalente à la directive européenne de 1995 ou à la loi informatique et libertés en France. Ce constat est valable tant au niveau fédéral qu’au niveau des états fédérés.

Ainsi, au fil des ans, le législateur fédéral a adopté plusieurs lois sur la protection des données personnelles telles que le Privacy Act (1974), concernant les traitements de données effectués par le gouvernement fédéral, et pour le secteur privé le Health Insurance Portability and Accountability Act (1996), le Children’s Online Privacy Protection Act (COPPA) (1998) et le Gramm-Leach Bliley Act (1999), visant respectivement la protection des données de santé, des mineurs et financières.

Par ailleurs, de nombreux états fédérés ont adopté, ou sont sur le point d’adopter, des lois imposant aux entreprises de notifier toute violation de données personnelles aux personnes concernées (consommateurs, internautes, abonnés), ou visant à assurer un niveau élevé de protection de la vie privée des élèves.

Face à la pression grandissante de la part de groupes de citoyens et consommateurs américains, notamment suite aux révélations d'Edward Snowden sur les pratiques mises en œuvre par la National Security Agency (NSA), mais également de la part de la Commission européenne, les uns et les autres exigeant un niveau global de protection de la vie privée plus élevé, le Congrès américain a récemment annoncé réfléchir sur une réforme de vaste ampleur visant à établir des normes fédérales en matière de protection de la vie privée. (1)

Nous donnons ci-après un aperçu des principales réglementations et des réformes législatives en cours au niveau des états fédérés, avant d'aborder les récentes initiatives de réglementation au niveau fédéral.


1. Des avancées significatives au niveau des états fédérés

Deux domaines ressortent principalement des législations des états fédérés : l'obligation de notification des violations de données personnelles et les règles relatives au respect de la vie privée des élèves.

    1.1  L’obligation de notification des violations de données personnelles

On entend généralement par violation de données personnelles toute violation de la sécurité (telle qu'une atteinte à un STAD) entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données.

Depuis le début de l’année 2015, plusieurs états, dont le Wyoming et l'état de Washington, ont introduit des projets de loi ou des amendements à des lois existantes relatifs à l'obligation de notifier les violations des données personnelles. Hormis les états du Wyoming et de Washington, il en va notamment des états du Montana, de l’Alabama et du Connecticut. Ces différents textes, qui doivent entrer en vigueur dans les prochains mois, listent pour la plupart les catégories de données personnelles concernées par l’obligation de notification, les destinataires des notifications, les informations à fournir et le délai dans lequel cette notification doit avoir lieu. (2)

Les informations personnelles concernées par cette obligation de notification sont notamment les données de nature médicale, les données biométriques, l’état civil, le régime matrimonial, les numéros de sécurité sociale, de permis de conduire, etc.

Les destinataires de ces notifications sont les personnes dont les données ont été compromises, mais également, selon les états, le Bureau de protection des consommateurs du Procureur général lorsque la violation concerne plus de cinq cents résidents, ou encore le Commissaire aux assurances si l’organisme concerné est une compagnie d’assurance.

Ces textes législatifs enjoignent aux entreprises qu’elles fournissent une information claire et compréhensible aux destinataires de la notification. Les mentions obligatoires à communiquer comprennent notamment : une description générale de la violation, la date approximative de l’incident, les actions prises pour prévenir les violations à venir et des conseils sur les bonnes pratiques à adopter par les citoyens pour éviter la violation de leurs données. Dès lors que la notification est faite auprès du Procureur général, celle-ci doit inclure une copie de la notification adressée aux personnes concernées, la date de cette notification ainsi qu’une indication du nombre de résidents de l’état affectés par la violation de données.

Enfin, certains textes mentionnent le délai maximal dans lequel la notification doit être envoyée. Ce délai varie entre 30 et 45 jours, à compter de la découverte de l’incident.

    1.2  La protection de la vie privée des élèves

Les lois sur la vie privée des élèves, de l’école maternelle au lycée, se multiplient. On compte aujourd’hui huit états ayant adopté des lois sur la protection de la vie privée des élèves, et plus d’une centaine de projets de lois sont envisagés par 42 états. A ce titre, sept états (Californie, Caroline du Nord, Colorado, Idaho, Kentucky, Louisiane, et l'état de New-York) ont adopté en 2014 de nouveaux textes (lois ou amendements à des lois existantes) relatifs à la vie privée des écoliers.

Ainsi, les états de l’Idaho et de New-York ont promulgué des lois interdisant aux entreprises d’utiliser les données personnelles des élèves à des fins marketing, publicitaire et commerciale. Le Kentucky a voté une loi proscrivant aux fournisseurs de services de Cloud computing le traitement des données personnelles des élèves à des fins commerciales. (3)

La Californie a adopté le "Student Online Personal Information Protection Act" (SOPIPA). Cette loi, qui doit entrer en vigueur le 1er janvier 2016, interdit aux opérateurs sur internet de vendre et d’utiliser les données des élèves pour réaliser de la publicité ciblée via des sites internet et des applications mobiles. La Californie prévoit également de modifier les dispositions concernant la vie privée dans son "Business and Professions Code". Cet amendement interdira de manière générale l’utilisation des données des étudiants à des fins autres que la finalité initiale, à savoir, les buts inhérents à l’éducation, de l’école maternelle au lycée ("K-12 school purposes").

Enfin, en Géorgie, le "Student Data Privacy, Accessibility and Transparency Act", adopté le 6 mai 2015, crée un droit d’accès, pour les parents d’élèves qui en font la demande, aux dossiers scolaires de leurs enfants et aux données personnelles qu’ils contiennent. En pratique, les parents d’élèves ont désormais la possibilité de consulter ces dossiers et de modifier et/ou de supprimer les informations personnelles concernant leurs enfants.


2. Les prémices d’une harmonisation législative au niveau fédéral

Lors d'une allocution le 12 janvier 2015, le Président Obama a déclaré vouloir travailler avec le Congrès à l'élaboration de nouvelles lois visant à mieux encadrer la protection de la vie privée des Américains. Suite à cette déclaration les premières propositions de lois ont été élaborées dans trois domaines en particulier : notification des violations de données personnelles, protection de la vie privée des consommateurs et protection de la vie privée des élèves.

    2.1  La notification des violations de données personnelles

Une première proposition de loi a pour objectif d’imposer aux entreprises de notifier à leurs clients, dans un délai maximal de 30 jours, toute faille de sécurité ayant un impact sur leurs données. (4) Ce texte ne concernerait que les entreprises stockant des données sensibles personnelles ou financières de plus de 10.000 clients. Ces entreprises devront notifier les cas de violations de données aux personnes concernées. Au sens de ce texte, les "données sensibles" désignent toute information ou tout groupe d’informations sous forme électronique et incluant une adresse postale, un numéro de sécurité sociale non tronqué, un numéro de permis de conduire, un mot de passe, des données biométriques, etc.

L'objectif de cette initiative est d’harmoniser la réglementation au niveau fédéral. En effet, on compte actuellement 47 lois réglementant la question de la violation des données personnelles aux Etats-Unis. Ainsi par exemple, en fonction de l’état dans lequel il réside, un citoyen américain peut être averti ou non en cas de piratage de ses données.

    2.2  Le renforcement de la protection de la vie privée des consommateurs

La seconde proposition de loi fédérale concerne les droits des consommateurs. (5) Cette proposition devrait permettre aux consommateurs américains de connaître l’étendue du traitement de leurs données envisagé par le professionnel (conditions de collecte, d’utilisation, de partage, et de revente éventuelles des données).

Le projet de texte propose de fournir un corpus unique de normes fédérales remplaçant le patchwork des lois existantes. Il étendrait la protection actuellement offerte par les états et proposerait l'adhésion au programme "Safe Harbor" aux entreprises adoptant un code de conduite approuvé par la Federal Trade Commission (FTC) et conforme au texte de loi.

Pour rappel, le Safe Harbor désigne un ensemble de principes de protection des données personnelles, négociés entre les autorités américaines (US Department of Commerce) et la Commission européenne en 2000, sur la base de la directive européenne de 1995 sur la protection des données personnelles. Le système du Safe Harbor fonctionne sur le volontariat et est déclaratif pour les entreprises souhaitant y adhérer. Les principes du Safe Harbor permettent d’assurer un niveau de protection suffisant pour les transferts de données en provenance de l’Union européenne vers des entreprises établies aux Etats-Unis ayant adhéré au programme. (6)

    2.3  Le souci de garantir la protection des données personnelles des élèves

Enfin, la troisième série de textes fédéraux est spécifiquement consacrée aux élèves. Les législateurs réfléchissent au rôle des technologies dans le milieu scolaire. En effet la multiplication des données et de leurs modes de communication (notamment via les outils de collaboration entre élèves ou les outils multimédias) impose de définir des règles de sécurité et de protection de la vie privée. (7)

La première proposition vise à créer de nouvelles obligations liées à la collecte et au traitement des données des élèves. Ce texte interdirait notamment aux entreprises proposant des logiciels éducatifs de revendre les données qu'elles collectent auprès des élèves, ou d'utiliser ces données pour des publicités ciblées.

Le second texte, un amendement au Family Educational Rights and Privacy Act (FERPA - 1974), a pour objectif de créer un droit d’accès pour les parents d’élèves aux dossiers scolaires de leurs enfants. Les parents pourront ainsi consulter et corriger ou supprimer les données personnelles de leurs enfants, détenues par les écoles.


    Ces initiatives diverses, tant au niveau des états fédérés qu’au niveau fédéral, traduisent la volonté des Etats-Unis de pallier les lacunes de la réglementation en vigueur en matière de protection des données personnelles. Toutefois, ces propositions de lois et amendements se heurtent à une forte opposition de la part d'une partie des membres du Congrès. En outre, on constate que l'approche américaine reste orientée sur des textes spécifiques et/ou sectoriels et que les Etats-Unis ne se dirigent pas vers une grande loi fédérale de protection des données personnelles.

Par ailleurs, depuis l’affaire Snowden (ou "Prism"), le programme Safe Harbor est remis en cause notamment par les institutions européennes. Ainsi, en novembre 2013, la Commission européenne a publié 13 recommandations visant à rétablir la confiance dans les transferts de données entre l’Union européenne et les Etats-Unis. Face à l’inertie des Etats-Unis, le Parlement européen a émis, en mars 2014, une résolution réclamant la suspension immédiate du programme Safe Harbor. (8) Si le programme Safe Harbor devait réellement être dénoncé, cela aurait un impact significatif sur le commerce transatlantique, obligeant à revenir à un système d'autorisation préalable à l'exportation de données personnelles depuis l'Europe vers les Etats-Unis. L'impact serait particulièrement sensible pour les entreprises américaines exploitant des services en cloud computing vers l'Europe ou pour les services de réseaux sociaux.


                                                             * * * * * * * * * * * *

Betty SFEZ – Avocat
en collaboration avec Inès NUNGUET

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2015


(1) L'une des questions posées cependant est de déterminer si les questions relatives à la réglementation de la protection de la vie privée relèvent du pouvoir fédéral ou du domaine législatif des états fédérés, ce qui explique en partie pourquoi les Etats-Unis ne disposent pas encore de loi "globale" sur le sujet.

 (2) Voir notamment : Wyoming: Enrolled Act no. 20 and 22, Senate – 63rd legislature of the state of Wyoming 2015 General Session ; Washington : Senate Bill 5047 State of Washington 64th Legislature, Prefiled 01/07/15. Act relating to enhancing the protection of consumer financial information.

(3) Voir notamment : Idaho : Idaho Code §33-133, Title 33 Education; Chapter 1 State Board of Education - 33-133, added 2014, ch. 281, sec. 3, p. 711 ; Kentucky : Ky. Rev. Stat. §365.734, Prohibited uses of personally identifiable student information by cloud computing service provider -- Administrative regulations - Created 2014 Ky. Acts ch. 84, sec. 2, effective July 15, 2014.

(4) Voir notamment : Bill of April 30, 2015 ("Consumer Privacy Protection Act of 2015"), introduced by Senator Patrick Leahy, introducing new data breach legislation.

(5) Consumer Privacy Bill of Rights Act of 2015.

(6) Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel ; Le programme Safe Harbor est décrit sur le site du US Department of Commerce à http://export.gov/safeharbor/

(7) Voir : Family Educational Rights and Privacy Act (FERPA) et Student Digital Privacy and Parental Act of 2015 (Bill of April 29, 2015).

(8) Communiqué intitulé "La Commission européenne appelle les États-Unis à rétablir la confiance dans les transferts de données entre l’UE et les Etats-Unis", du 27 novembre 2013 ; Résolution du Parlement européen du 12 mars 2014 sur le programme de surveillance de la NSA, les organismes de surveillance dans divers États membres et les incidences sur les droits fondamentaux des citoyens européens et sur la coopération transatlantique en matière de justice et d'affaires intérieures.

E-commerce : les nouvelles obligations légales nécessitant une mise en conformité des sites web

La loi relative à la consommation (dite loi “Hamon”), adoptée le 17 mars 2014, transpose notamment la Directive européenne de 2011 relative aux droits des consommateurs. Cette nouvelle loi comprend des dispositions de natures très diverses, portant sur les actions de groupe, l’information et le renforcement des droits contractuels des consommateurs, le crédit à la consommation et l'assurance, les indications géographiques et la protection du nom des collectivités territoriales, la vente en ligne de lunettes et lentilles de vue, le renforcement des moyens de contrôle de la DGCCRF, et des dispositions diverses telles les règles applicables aux VTC. (1)

Parmi ces nombreuses dispositions, nous nous intéressons à celles modifiant les règles applicables aux contrats de vente en ligne B-to-C et aux dispositions renforçant les pouvoirs de la CNIL en matière de respect à la loi Informatique et Libertés.

Ces nouvelles dispositions impliquent, pour la plupart d’entre elles, que les exploitants de sites de e-commerce (vente de biens et de prestations de services) mettent à jour leurs conditions générales de vente ou d’utilisation (CGV/CGU), ainsi que certaines catégories d’informations mentionnées sur leurs sites internet, et adaptent, le cas échéant, leur logistique et organisation interne (conditions de livraison et de retour de marchandise).

Cette mise en conformité doit intervenir rapidement, puisque la plupart des nouvelles dispositions entrent en vigueur le 13 juin 2014. Elles s’appliquent donc à tous les contrats conclus à compter du 14 juin.


1. Une obligation d’information renforcée vis-à-vis des consommateurs

La nouvelle réglementation vient renforcer l’obligation d’information et de transparence de la part des vendeurs professionnels. Cette information, qui doit être claire et compréhensible pour le consommateur, doit être fournie dès la période pré-contractuelle.

    1.1 L’information pré-contractuelle
Avant la conclusion du contrat, la réglementation exige que l’internaute soit informé sur plusieurs points. Ces informations sont les mêmes pour les vendeurs de biens et les prestataires de services, à savoir notamment : l’identité du e-commerçant, les caractéristiques essentielles des biens ou des services proposés, le prix ou son mode de calcul, les conditions de livraison, l’existence de garanties et leurs conditions, l’existence ou non d’un droit de rétractation et ses modalités d’exercice, l’existence de codes de bonne conduite, etc.

L’absence de certaines de ces mentions peut être lourde de conséquences pour le vendeur (tel le rallongement du délai de rétractation à 12 mois).

    1.2 L’information pendant la passation de la commande en ligne
Le professionnel doit accompagner et informer l’internaute tout au long du processus de passation de commande.

A ce titre, et même si cela peut paraître évident, le professionnel doit indiquer de manière très claire que la commande entraîne une obligation de paiement et que la sélection d’options supplémentaires - par le biais d’une case à cocher, par exemple - occasionne des frais additionnels.

    1.3 L’information après la conclusion du contrat
Enfin, l’obligation d’information se poursuit après la conclusion du contrat. Le professionnel doit adresser à l’internaute une confirmation de sa commande et joindre à cette confirmation une copie des CGV ou CGU ainsi qu’un formulaire de rétractation. Ces documents doivent être communiqués sur un support durable, par exemple en pièces jointes à un email de confirmation de commande, sous format .pdf. (2)

En cas de litige, la charge de la preuve du respect de cette obligation d’information incombe au professionnel.


2. Les nouvelles conditions d’exécution des contrats B-to-C

La nouvelle réglementation modifie certaines conditions d’exécution des contrats conclus en ligne telles que les conditions de livraison, et les conditions relatives au droit de rétractation.

    2.1 La livraison, le transfert des risques et les garanties
Les délais d’exécution du contrat : le professionnel doit livrer le bien ou fournir le service à la date ou dans le délai indiqué au consommateur. A défaut de délai stipulé, la livraison ou l’exécution de la prestation doit intervenir au plus tard 30 jours après la conclusion du contrat.

Les risques supportés par le professionnel : lorsque le vendeur se chargera de l’acheminement du bien vendu, le risque de perte ou de détérioration de ce bien ne sera transféré au consommateur qu’au moment où ce dernier en prendra physiquement possession. Le transfert des risques ne s’opère donc plus, comme précédemment, au moment de la conclusion du contrat de vente.

Toutefois, si le consommateur confie le transport à un prestataire autre que le transporteur proposé par le professionnel, le consommateur supporte alors le risque de perte du bien dès le transport.

Les garanties dues en cas de vente : le consommateur qui achète un bien bénéficie de trois types de garanties : la garantie légale de conformité, la garantie légale des vices cachés et la garantie commerciale, cette dernière garantie n’étant pas obligatoire. L’objet de ces garanties est d’obtenir,  dans certaines conditions, la réparation ou le remplacement du bien défectueux.

La nouvelle règlementation oblige le professionnel à informer le consommateur quant à ces garanties et notamment à préciser dans les CGV l’existence, les conditions de mise en oeuvre et le contenu des garanties légales et, le cas échéant, d’une garantie commerciale et d’un service après-vente. En outre, le Code de la consommation modifié dispose que la garantie commerciale doit faire l’objet d’un écrit, comportant certaines mentions obligatoires.

    2.2 La responsabilité de plein droit
Le professionnel est responsable de plein droit à l'égard du consommateur de la bonne exécution des obligations résultant du contrat conclu à distance, que ces obligations soient exécutées par le professionnel qui a conclu ce contrat ou par d'autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci.

Le vendeur peut s'exonérer de tout ou partie de sa responsabilité vis-à-vis de l’acheteur en rapportant la preuve que l'inexécution ou la mauvaise exécution du contrat est imputable soit au consommateur, soit au fait, imprévisible et insurmontable, d'un tiers au contrat, soit à un cas de force majeure.

Ce régime de responsabilité n’est pas nouveau puisqu’il existe depuis l’entrée en vigueur de la loi pour la confiance dans l’économie numérique de 2004. Il est confirmé dans la loi de mars 2014.

    2.3 Le droit de rétractation
Le délai de rétractation : le professionnel a désormais l’obligation d’accorder au consommateur un délai 14 jours, et non plus 7 jours, pour faire jouer son droit de rétractation. Ce délai commence à courir, soit à compter de la conclusion du contrat - pour les prestations de services, soit à compter de la réception du bien par le consommateur ou un tiers désigné (hors transporteur) - pour la vente.

Ce droit doit pouvoir être exercé au moyen d’un formulaire de rétractation mis à disposition du consommateur par le commerçant, ou toute autre déclaration, dénuée d’ambiguïté, exprimant la volonté de se rétracter.

Le droit de rétractation ne s’applique pas à tous les achats sur internet. Certains contrats, par leur objet, n’ouvrent pas droit à la faculté de rétractation ; les cas d’exclusion du droit de rétractation étant plus nombreux qu’auparavant.

La restitution du bien : le consommateur doit restituer le bien au plus tard, dans les 14 jours suivant la communication de sa décision de se rétracter. La réglementation antérieure ne fixait pas de délai de restitution. 

Le délai de remboursement : en outre, le délai de remboursement par le professionnel au consommateur est réduit de 30 à 14 jours à compter de la date de rétractation, soit potentiellement avant même d'avoir reçu les biens en retour. Le vendeur risque donc d’être dans des situations où il aura remboursé le bien alors que celui-ci n’a pas été renvoyé, ou que le bien a été renvoyé mais dans un état ne permettant pas de le remettre en vente.


3. Le renforcement des contrôles de conformité à la loi Informatique et Libertés

Les sites de commerce électronique collectent des informations relatives à leurs clients (nom, prénom, adresse email, etc.) au moment de l’inscription sur le site ou de la passation de la commande. La loi Informatique et Libertés de 1978 encadre le traitement de ces données à caractère personnel. (3) Elle détaille en outre les missions et pouvoirs dévolus à la CNIL. La loi Hamon vient d’étendre ses pouvoirs de contrôle.

    3.1 Rappel des obligations issues de la loi Informatique et Libertés
Un traitement de données à caractère personnel comprend tous types d'opérations, quel que soit le procédé utilisé, et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles. La collecte et le traitement des données personnelles doivent respecter les principes de loyauté et de proportionnalité définis par la loi Informatique et Libertés. 

De nombreuses obligations pèsent sur le responsable de ce traitement, telles que : (i) déclarer à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), préalablement à sa mise en oeuvre, (ii) respecter la finalité du traitement, (iii) conserver les données pendant une durée raisonnable, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, d’exercer leurs droits (droits d'accès, de contestation, de rectification et d’opposition).

    3.2 Les pouvoirs de contrôle de conformité étendus de la CNIL
Depuis 2004, les agents de la CNIL sont habilités à effectuer des contrôles de conformité sur place, c’est-à-dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

La loi Hamon modifie la loi Informatique et Libertés en prévoyant désormais la possibilité pour la CNIL d’effectuer des contrôles de conformité à distance. Les agents de la CNIL seront habilités à : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations, et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

A la suite des investigations, un procès-verbal de contrôle sera dressé de façon unilatérale et notifié a posteriori à l’entreprise concernée, simplement pour observation. (4)


4. Les sanctions encourues en cas de manquement à la loi Hamon

Les manquements aux dispositions de la loi du 17 mars 2014 relatives notamment à l’obligation d’information des consommateurs, le droit de rétractation et la protection des données personnelles sont assortis de sanctions de nature pénale.

L’information des internautes : tout manquement à l’obligation d’information sera passible d’une amende administrative d’un montant maximal de 3.000€ pour une personne physique et 15.000€ pour une personne morale.

L’obligation de livraison : à défaut de livraison dans les délais, le consommateur peut demander la résolution du contrat de vente. Dans ce cas, le professionnel est tenu de rembourser le consommateur de la totalité des sommes versées, au plus tard dans les 14 jours suivant la date à laquelle le contrat a été dénoncé. La somme versée par le consommateur est de plein droit majorée de 10% si le remboursement intervient plus de 30 jours après ce délai, de 20% jusqu'à soixante jours et de 50% au-delà.

Le droit de rétractation : en cas d’absence d’information précontractuelle sur l’existence du droit de rétractation, le délai de rétractation de 14 jours passe à 12 mois.

Par ailleurs, le professionnel qui ne rembourse pas au consommateur "rétracté" la totalité des sommes versées dans le délai légal de 14 jours se voit - sauf exception - appliquer de plein droit des pénalités croissantes avec le retard de remboursement (taux d’intérêt légal et au-delà de 10 jours de retard, pénalités calculées en pourcentage du prix de vente du bien).

Enfin, les manquements aux conditions d’exercice du droit de rétractation, ainsi que ses effets, sont passibles d’une amende administrative s’élevant à 15.000€ pour une personne physique et 75.000€ pour une personne morale.

La protection des données personnelles : la nouvelle règlementation n’a pas modifié les sanctions en cas de non-respect de la loi Informatique et Libertés.

Pour rappel, à l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


   Dans ce contexte, il est recommandé aux exploitants de sites de commerce électronique qui n’auraient pas encore fait cette mise à jour, de faire réaliser, dans les meilleurs délais, un audit de conformité juridique de leur site. Il convient également de porter une attention particulière au processus de passation de commande, à la procédure d’acceptation des CGV/CGU et à la communication effective des documents contractuels à l’acheteur. Enfin, il appartient aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                      * * * * * * * * * *

(1) Loi n°2014-344 du 17 mars 2014 relative à la consommation et Directive européenne n° 2011/83 du 25 octobre 2011 relative aux droits des consommateurs.

(2) Au sujet de la validité et de l’opposabilité des CGV, voir notre article http://dwavocat.blogspot.fr/2012/10/e-commerce-les-conditions-de-validite.html

(3) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(4) Au sujet des nouveaux pouvoirs d’enquête de la CNIL, voir notre article http://dwavocat.blogspot.fr/2014/03/donnees-personnelles-vers-un.html



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat
Deleporte Wentz Avocat
www.dwavocat.com

Juin 2014